El concepto de Zero Trust no es nuevo, pero ha adquirido relevancia en los últimos años porque ayuda a minimizar los movimientos laterales de los atacantes; es decir, las técnicas que usan los intrusos para recorrer las redes en busca de datos valiosos.
Su principio rector es “nunca confiar, siempre verificar” y en un panorama de amenazas cada vez más preocupante en materia de ciberseguridad, su implementación se vuelve imperativa.
Proteger a las organizaciones de la amenaza de los ciberataques es una responsabilidad 24/7. Los adversarios conspiran incesantemente para robar credenciales y eludir los endpoints no administrados y, a partir de ahí, ejecutar la progresión del ataque, muchas veces sin ser detectados.
La proliferación de las ciberamenazas se ha acelerado en los últimos años, a pesar de los amplios compromisos de reforzamiento de las estrategias de seguridad informática, tanto del sector privado como del público.
El gasto global en soluciones de seguridad de última generación y herramientas que incluyen inteligencia artificial (AI, por sus siglas en inglés) y aprendizaje automático (ML) alcanzaron ventas récord en 2022.
Incluso, a pesar de los tiempos inciertos en la economía global, Gartner anticipó un crecimiento de las inversiones en seguridad y manejo de riesgos de 11%, equivalente a más de $183,300 millones de dólares.
Sin embargo, los atacantes aún le dan la vuelta a las distintas soluciones con bastante facilidad.
Mayor superficie de ataque
El trabajo remoto o híbrido que derivó de la crisis sanitaria y la creciente adopción de tecnologías de nube, servicios, y aplicaciones de terceros en procesos operativos no ha hecho más que complicar el panorama de la seguridad.
La nueva forma de trabajo ha expandido la superficie de ataque, y le provee a los adversarios una amplia gama de vulnerabilidades externas para atacar a través de campañas de ingeniería social y uso de malware.
El año pasado, el Informe de amenazas globales de CrowdStrike destacó que 80% de los ciberataques aprovechó las técnicas basadas en la identidad para comprometer las credenciales legítimas e intentar evadir la detección.
En 2023, los adversarios han duplicado sus apuestas en credenciales, con un aumento interanual de 112% en los anuncios de agentes de acceso a servicios identificados en la clandestinidad criminal.
El problema principal es que muchas organizaciones han invertido en capas de seguridad pensadas originalmente para defender ambientes complejos on premise y no los activos de datos no estructurados en sus ecosistemas basados en la nube.
Es decir, se trata de un perímetro desdibujado, sin seguridad. Dada la mayor sofisticación y los recursos del cibercrimen moderno, las organizaciones deben operar bajo la premisa de que su red será atacada; no es una suposición, sino un hecho.
La necesidad de una estrategia Zero Trust
Ante la evolución de las tácticas de los adversarios, que involucran cada vez mayor rapidez el hackeo de credenciales válidas, la detección y respuesta de amenazas, se requiere de la gestión de identidades, junto con una solución de endpoint a prueba de balas.
Estos elementos se han convertido en integrales para una sólida estrategia de ciberseguridad. De lo contrario, cualquier identidad puede verse comprometida para lanzar ataques persistentes y a gran escala contra las empresas.
De aquí que la filosofía Zero Trust haya recuperado notoriedad, para alinear los cambios de sistemas legados —que antes aseguraban el perímetro— a favor de una arquitectura más ágil de confianza cero, que restringe a los adversarios de causar daños irreparables después de que ocurren las vulnerabilidades.
Los componentes fundamentales de la arquitectura Zero Trust (ZTA, por sus siglas en inglés) incluyen la identificación/inventario de los activos de la organización, la determinación de las políticas de acceso, el establecimiento de dónde deben implementarse esas políticas y, a continuación, el control de cómo se mantienen.
Dicho esto, la adopción de ZTA solo puede comenzar con una visibilidad de extremo a extremo de la infraestructura digital existente de una organización para identificar qué activos son de mayor valor para los adversarios. Cuanto más atractivo sea el activo, más estrictas serán las políticas de acceso vigentes.
Fundamentos de Zero Trust
Zero Trust ha despertado un creciente interés en los últimos años debido en gran parte a su capacidad para abordar los desafíos anteriores, protegiendo a las empresas de las amenazas cibernéticas, con el apoyo de la gestión de identidades sin que los usuarios sufran un impacto operativo, y al mismo tiempo buscando minimizar la complejidad de la seguridad, y el tiempo necesario para identificar y corregir los incidentes de seguridad.
En un mundo Zero Trust no hay ninguna confianza implícita en el usuario —sin importar de dónde se esté firmando ni a los recursos que esté tratando de acceder— solo porque se encuentre dentro del firewall corporativo.
Solo los individuos autorizados pueden tener acceso a los recursos necesarios conforme los requieran. La idea es cambiar el enfoque de uno basado en el perímetro (es decir, reactivo) a un enfoque centrado en los datos (proactivo).
El concepto incluye tres componentes básicos. (Más adelante se hablará de los otros dos, que son: la arquitectura de red y las tecnologías que habilitan Zero Trust.)
El primer componente se divide en cuatro principios rectores, a saber:
a) La definición de los resultados para el negocio, es decir, qué es lo que las organizaciones están tratando de proteger y dónde están esos recursos;
b) Diseñar de adentro hacia afuera, identificando los recursos que necesitan protección a nivel granular y construir los controles de seguridad que trabajan en proximidad cercana a dichos recursos;
c) Definir requerimientos de acceso de identidades, al proveer un mayor nivel de granularidad y administración de control de accesos a usuarios y dispositivos); e
d) Inspeccionar y rastrear los logs de todo el tráfico, comparando las identidades autenticadas contra las políticas predefinidas, los datos históricos y el contexto de su solicitud de acceso.
Las empresas que deseen invertir en una solución Zero Trust deben plantearse estas preguntas clave: ¿Cómo puedo reducir la complejidad de la seguridad, mejorar la experiencia del usuario, ahorrar dinero y reducir el tiempo para identificar y remediar las brechas?
Principios de Zero Trust
Desde una perspectiva general, existen cuatro principios fundamentales del enfoque Zero Trust en ciberseguridad que pueden resumirse en:
1.- Verificar en lugar de confiar. Ello implica, como ya se dijo arriba, que no se debe confiar de manera automática en ningún usuario, dispositivo o proceso, incluso dentro de la red corporativa. En cambio, se deben autenticar y autorizar de forma continua y granular todos los usuarios y dispositivos antes de permitir el acceso a recursos y datos.
2.- El principio del menor privilegio. Se refiere a otorgar a los usuarios y dispositivos los privilegios mínimos necesarios para llevar a cabo sus tareas y responsabilidades específicas. No se debe conceder acceso completo a la red o recursos sensibles a menos de que sea indispensable.
3. Acceso basado en políticas. Es decir, se deben definir las políticas de acceso y las condiciones para permitir o denegar el acceso a recursos y datos. Estas políticas deben ser consistentes, granulares y aplicadas de manera uniforme en toda la red.
4. Inspección y monitorización continua. Esto implica la supervisión constante de la actividad de los usuarios y dispositivos en la red, así como la detección de anomalías y amenazas en tiempo real. Ello con el fin de dar respuesta rápida y eficiente ante incidentes, así como tomar medidas en caso de actividades sospechosas.
Implementación de Zero Trust
La publicación especial (SP) 800-207 del Instituto Nacional de Estándares y Tecnología (NIST) se ha convertido en la arquitectura estándar de facto de Zero Trust. Las agencias gubernamentales de Estados Unidos y las grandes y pequeñas empresas de todo el mundo lo están adoptando.
La arquitectura NIST Zero Trust adopta un enfoque de seguridad integral y neutral con respecto a los proveedores, que se centra en la validación continua de identidades, la restricción estricta de privilegios y el control estricto del acceso a los recursos empresariales.
Un enfoque basado en estándares garantiza que las organizaciones no tengan que rediseñar su solución Zero Trust al cambiar de proveedor o de objetivos empresariales.
Dicha arquitectura defiende tanto contra las amenazas internas como contra los adversarios externos, limita la corrupción de privilegios y el movimiento lateral, y protege los datos confidenciales y la infraestructura crítica, independientemente de la ubicación o el modelo de implementación.
La SP 800-207 explica los principios básicos de un marco Zero Trust, define los componentes lógicos que componen la arquitectura, revisa los escenarios de implementación típicos y proporciona orientación para migrar a un modelo Zero Trust.
Vale la pena enfatizar que la implementación del concepto Zero Trust es un proceso y no un evento.
De manera que la jornada típica de Zero Trust comienza con la mejora de la visibilidad de la identidad, los endpoints, los usuarios, las aplicaciones y los datos, así como los riesgos asociados en el entorno híbrido y multinube.
El objetivo de esta etapa es descubrir todos los endpoints y todas las identidades humanas y no humanas dispersas en toda la empresa extendida, comprender sus roles y comportamientos, evaluar las amenazas e identificar las brechas de seguridad y las posibles rutas de ataque de los actores maliciosos.
La siguiente fase consiste en detectar y detener las amenazas contra objetivos de alto valor en tiempo real. En esta etapa se presenta la inteligencia de amenazas y la tecnología de evaluación de riesgos para identificar y mitigar automáticamente los ataques maliciosos. También emplea técnicas de segmentación de identidades para controlar estrictamente el acceso a los recursos y evitar las típicas vulnerabilidades, como el abuso de privilegios y el movimiento lateral, con una sobrecarga operativa mínima.
La etapa final amplía el modelo de protección Zero Trust a recursos empresariales adicionales e introduce métodos de autenticación multifactor (MFA) adaptativa para reforzar la seguridad y mejorar la experiencia de los usuarios. En esta fase también se incorporan sistemas externos como soluciones de seguridad de identidad, plataformas de diagnóstico y mitigación continuos (CDM) y SIEM.
La arquitectura de red
El segundo componente mencionado líneas arriba, la implementación de la arquitectura, tiene como como propósito proteger la superficie (es decir, datos, activos, aplicaciones, servicios y recursos que son valiosos para la compañía), y el micro perímetro (protección granular que protege un recurso en lugar de un ambiente de red como un todo).
Otro elemento es la microsegmentación, es decir, segregar el ambiente de red en zonas discretas o sectores basados en diferentes funciones del negocio. Por último, definir el principio del menor privilegio de acuerdo con los contextos específicos. En otras palabras, el acceso a los recursos es otorgado de acuerdo con el rol o perfil del usuario y asociado a sus actividades, así como a través de la promulgación del principio del menor privilegio.
Tecnologías habilitadoras de Zero Trust
El tercer componente que se mencionó líneas arriba es el relativo a las tecnologías. Es necesario aclarar que no existe una solución única que permita su implementación.
Dicho esto, existen tecnologías como la administración de identidades y accesos, la autenticación multifactor, el single sign-on, el perímetro basado en software, la analítica de comportamiento de usuarios e identidades, los firewalls de siguiente generación, la detección y respuesta de los endpoints y la prevención de filtración de datos, que pueden ayudar a comenzar la jornada hacia el Zero Trust.
Beneficios de Zero Trust
Zero Trust no es una bala de plata para todas las amenazas actuales. Pero bien implementado puede crear una defensa mucho más robusta en contra de ataques de ransomware.
No se debe pasar por alto que la raíz de todos los ciberataques es el error humano, y Zero Trust apunta los reflectores en la identidad de los usuarios y la administración de los accesos.
Zero Trust también ayuda a reducir la superficie de ataque significativamente, dado que los usuarios internos y externos tienen acceso limitado a los recursos y todos los demás datos o aplicaciones están completamente escondidos. Además, Zero Trust provee monitoreo, detección, y capacidades de inspección de amenazas, que son necesarias para prevenir los ataques de ransomware y exfiltración de datos sensibles.
Los adversarios están concentrando sus ataques cada vez más en la nube y utilizan operaciones más avanzadas para el acceso inicial, el movimiento lateral posterior a la vulneración, la escalada de privilegios, la evasión de defensa y la recopilación de datos.
Si bien los objetivos de las operaciones adversarias siguen siendo similares a sus ambiciones de intrusión fuera de la nube, la naturaleza efímera de algunos entornos de nube significa que pueden necesitar un enfoque más tenaz para tener éxito.
En los últimos estudios de algunos proveedores, se ha constatado que los ciber delincuentes se están apartando de la desactivación de tecnologías antivirus y firewall, así como de los esfuerzos de manipulación del registro (log in). En cambio, se les observó buscando formas de modificar los procesos de autenticación y las identidades de destino.
Zero Trust, en acción
Hace seis años, la firma consultora Accenture inició su migración a la nube. Desde el inicio del proceso identificó que la seguridad y los riesgos del cumplimiento regulatorio eran los dos puntos de dolor de la adopción del cloud, de manera que desde el inicio la seguridad fue un componente crítico para soportar las necesidades del negocio.
Para la firma era importante ser agnóstico con respecto al proveedor de nube, encajar en un ambiente multi-cloud, de manera que el marco de referencia de la seguridad y sus principios se aplicaran a cualquier proveedor con auditabilidad.
De manera que integraron una defensa robusta, fincada en múltiples capas de seguridad y en distintas escalas: nube, red, acceso, datos y endpoints. Centraron su estrategia en un enfoque Zero Trust, protegiendo todos los aspectos de la jornada segura a la nube al tratar todo como no digno de confianza.
Con el foco en Zero Trust, siguieron una perspectiva centrada en la identidad, con base en el acceso en identidades en el que cada solicitud es verificada explícitamente.
A futuro, para asegurar y administrar los controles de acceso a un ambiente multi nube, Accenture tiene puesta la meta en una alineación entre plataformas de manera que todas las identidades estén alineadas a lo largo de todas las plataformas y proveedores. Al usar los datos como el principal motor, la seguridad en nube seguirá siendo completa sus capacidades de nube crezcan entre plataformas.
Además, quieren descubrir nuevas soluciones y aumentar su seguridad con AI para la detección de amenazas y machine learning para remediar su código y prevenir potenciales vulneraciones. Esto en combinación con su estrategia de prevención, protección, detección y recuperación puede fortalecer su imperativo Zero Trust.
Más allá de la seguridad perimetral
El modelo de seguridad de red de confianza cero o Zero Trust se basa en el principio de que solo se puede confiar en un usuario o dispositivo después de confirmar su identidad y estado.
Una arquitectura perimetral Zero Trust agrega principios de confianza cero al concepto de redes basadas en la seguridad para el acceso seguro de los usuarios con una verificación constante y continua, ya sea que los usuarios estén en las instalaciones, trabajando desde una oficina remota o viajando.
El perímetro de confianza cero es un cambio drástico en la seguridad de la red. En lugar de la verificación una vez en el perímetro de la red, proporciona una verificación continua de cada usuario, dispositivo, aplicación y transacción.
La creación de una estrategia perimetral de confianza cero requiere una convergencia coherente de redes y seguridad en todos los perímetros. Esta estrategia simplifica la protección de la superficie de ataque en expansión, independientemente de dónde se encuentren los usuarios o los dispositivos.
Las organizaciones están reemplazando las redes centradas en enrutadores y MPLS por acceso directo a internet con reconocimiento de aplicaciones mediante SD-WAN.
Aunque este enfoque mejora la experiencia del usuario, también puede aumentar los riesgos. La mayoría de las soluciones SD-WAN no tienen seguridad avanzada integrada, lo que significa que las organizaciones necesitan agregar una solución de seguridad adicional, lo que aumenta la complejidad.
La convergencia de la seguridad y la SD-WAN en una única solución reduce la expansión de dispositivos, promueve una política unificada de borde de WAN, reduce los costos y protege las conexiones LTE/5G.
Para prevenir y detectar amenazas, la seguridad integrada avanzada incluye sistemas de prevención de intrusiones, filtrado web, inspección SSL profunda y sandboxing.
Una estrategia perimetral Zero Trust que haga converger las redes y la seguridad ayuda a aliviar la carga de los equipos de IT al simplificar la gestión operativa y proporcionar una amplia visibilidad en todos los perímetros de la red. Se pueden utilizar herramientas de seguridad y redes convergentes para maximizar la eficiencia y la funcionalidad de la red.
Perspectivas futuras
Los fundamentos de Zero Trust fueron forjados hace más de una década. En fechas recientes, el aumento de la superficie de ataque derivada de la adopción de esquemas de nube, el trabajo remoto y la movilidad, han hecho que las defensas de seguridad IT tradicionales sean insuficientes para detener a los atacantes, que ahora emplean sofisticadas técnicas para vulnerar firewalls y protecciones de endpoints. La desaparición del perímetro está empujando con fuerza la adopción de un enfoque de confianza cero a la ciberseguridad.
La arquitectura Zero Trust ausme que todos los usuarios, dispositivos y aplicaciones no son dignos de confianza y pueden estar comprometidos. En otras palabras, no hay que confiar en nada y siempre verificar. Solo una autenticación multifactor puede proveer acceso a los datos, con permisos limitados, y especificar los recursos. En caso de detección de actividades maliciosas, el impacto en los datos se reduce.
Como se dijo al inicio, la arquitectura Zero Trust definidia por el NIST SP 800-207, comprende “un set de modelos de seguridad en evolución que acaba con las defensas estáticas y basadas en el perímetro de la red, y pone el foco en los usuarios, los activos y los recursos”.
Pero la implementación de una red Zero Trust no es una tarea fácil, a pesar de que casi la mitad de las organizaciones en diversas encuestas han dicho que están adoptando los principios. Se trata de una jornada de transformación y conlleva una curva de aprendizaje para la mayor parte de los departamentos IT y los usuarios finales.
La importancia de la educación en ciberseguridad
Además de que el enfoque de confianza cero está en continua evolución, de acuerdo con las tendencias de los ataques y las herramientas utilizadas, es importante recalcar que la mayor parte de las vulnerabilidades se derivan de errores humanos, como se dijo líneas arriba.
Además, crear un ambiente de cero confianza puede provocar incomodidad y fricción entre los usuarios, quienes podrían verse tentados a utilizar otros medios de acceso fuera de la red para ganar agilidad.
De manera que no se puede implementar una red Zero Trust sin la cooperación y el apoyo de los empleados. Son los usuarios quienes tendrán que definir quién tiene acceso a qué aplicaciones de la red y que tan lejos esos permisos pueden llegar. Estas aportaciones deberían ser revisadas al menos anualmente, y los departamentos IT pueden, a partir de ello, establecer las reglas para una autenticación multifactor.
Los usuarios pueden quejarse por los efectos adversos que este esquema en la productividad. El hecho de atravesar por autenticaciones latosas y multifactoriales cada vez que se quiere usar la red suele causar frustración. Y de ahí que los departamentos IT se pueden ver implicados en una situación política.
La buena noticia es que la mayor parte de los usuarios, como ciudadanos del mundo, ya están acostumbrados a autenticaciones multifactor en el terreno comercial y financiero, de manera que una transición en la empresa a este ambiente seguro no debería ser tomado con gran rechazo.
De cualquier forma, los departamentos IT deberían coordinarse con Recursos Humanos y con la alta administración para lidiar con las susceptibilidades de algunos usuarios.
En caso de que se encuentren mayores obstáculos, un consejo útil es tomarse una pausa hasta alcanzar un consenso que apoye la adopción de una red Zero Trust.
Conclusiones
Los directores de Seguridad (CISO) comprenden que la propiedad intelectual, los datos de los clientes y toda información valiosa debe ser protegida, al tiempo que evitan caídas del sistema y protegen las aplicaciones clave. En este difícil esfuerzo tienen además que equilibrar la protección sin entorpecer las responsabilidades diarias de los empleados.
Un enfoque tradicional de la ciberseguridad asume que cualquier usuario, dispositivo o infraestructura que está bajo el paraguas de la red corporativa es considerado confiable automáticamente. Este enfoque ya no es viable. Las aplicaciones residen fuera del firewall y los usuarios finales pueden accesar datos sensibles e información desde su propio dispositivo y su propia red local en su casa.
El enfoque tradicional a la seguridad ha evolucionado y el modelo de seguridad Zero Trust fue pensado para un momento como este, sin importar el tamaño o el objetivo, para soportar ambientes de trabajo remoto o híbrido y minimizar los riesgos de ciberseguridad, al limitar la exposición de ataques de suplantación de identidad, confinar el movimiento lateral, y las amenazas de día cero que pueden evadir los enfoques de seguridad tradicionales.
Cuando se integra un ambiente de trabajo on premise con infraestructuras multi nube y aplicaciones SaaS se producen múltiples puertos de entrada, que para los intrusos aprovechan para moverse de manera fácil dentro de la red.
Los usuarios, pues, son más susceptibles que nunca al malware y diferente formas de ataques de phishing, ransomware y robo de identidades o credenciales.
El futuro para los tomadores de decisiones en esta nueva era del trabajo es implementar el modelo de seguridad Zero Trust y mejorar la posición de seguridad de sus organizaciones.
